Coder 2.30.x < 2.32.7 / 2.33.x < 2.33.8 / 2.34.x < 2.34.2 AI Bridge 代理 TLS 验证绕过

high Nessus 插件 ID 326278

简介

远程主机上安装的一个应用程序受到漏洞影响。

描述

远程主机上安装的 Coder 版本低于 2.30.x2.32.7、 2.33.x2.33.8或低于 。2.34.x2.34.2 因此,该软件受到一个漏洞影响。

在默认配置中,AI 桥接代理跳过 TLS 证书验证。代理创建了其默认传输集 InsecureSkipVerify的 goproxy 服务器,并且仅在配置了上游代理时才分配安全传输。在默认配置(无上游代理)下,编码器访问 URL 的出站 HTTPS 接受任何 TLS 证书,从而可能让路径上的攻击者拦截会话令牌和 API 密钥。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

将编码器更新到版本 、 2.33.8或2.34.2更高版本2.32.7。

另见

https://github.com/coder/coder/security/advisories/GHSA-84rm-42xw-mx52

插件详情

严重性: High

ID: 326278

文件名: coder_CVE-2026-55436.nasl

版本: 1.1

类型: Local

系列: Misc.

发布时间: 2026/7/10

最近更新时间: 2026/7/10

配置: 启用全面检查 (optional)

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 4.3

百分位: 53.66

CVSS v2

风险因素: High

基本分数: 7.1

矢量: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:N

CVSS 分数来源: CVE-2026-55436

CVSS v3

风险因素: High

基本分数: 7.4

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

漏洞信息

CPE: cpe:/a:coder:coder

必需的 KB 项: installed_sw/Coder

补丁发布日期: 2026/6/12

漏洞发布日期: 2026/6/12

参考资料信息

CVE: CVE-2026-55436

IAVB: 2026-B-0188